디지털포렌식 실기 2급 - 실습문제 4번 풀이 p289페이지에 있는 페이지에 설명되어 있는 'filezilla.log'를 KFOLT로 보면 해당 파일의 내용은 깨져서 나온다. filezilla.log파일을 직접 추출해서 메모장으로 열였더니, 다행히도 내용이 깨지지 않고 출력되었다. 전공영역 공부 기록 2019.06.24
디지털 포렌식2급 실기 - 보고서 작성 기준(책에 언급된 내용만..) p27 - 분석과정에 사용한 시스템 정보(운영체제), 사용한 하드웨어와 소프트웨어 정보, 시간 정보 등을 기재한다. 시간 정보는 증거물의 시간과 정확한 현재 시간을 비교하여 오차를 기록해 두어야 한다. 분석시스템 운영체제 Windows 10 Pro 분석에 사용한 도구 Encase 8.07 TimeZone 대한민국 표준시(UTC +9) p256 - 문제를 풀기 위해 발견된 파일에 대해서는 반드시 해시 값을 산출하여 보고서에 기재한다. 단, 여기서 주의할 점은 문제의 정답과 상관없는 파일에 대해 기재하거나 언급을 하면 감점의 요인이 된다. 문제에서 얘기하는 정답과 연괸되어 잇는지 신중하게 판단한 뒤 보고서에 기록해야 한다. p315 기록된 매체정보 중 디바이스의 총 용량과 볼륨의 총 용량을 구분해서 보고서에.. 전공영역 공부 기록 2019.06.24
04. 이미지 데이터의 메타데이터 디지털포렌식 전문가 2급 232페이지에서 이미지 데이터를 다루고 있다(실습문제 2번). 책에서는 KFOLT도구를 사용해서 메타데이터를 보고 있지만, 파일을 추출 하면 더 쉽게 메타데이터를 볼 수 있다. [이미지 01]처럼 [이미지 속성 -> 자세히]탭으로 가면 이미지의 모든 메타데이터가 표시된다. 전공영역 공부 기록 2019.06.24
03. KFOLT 해시 분석 KFOLT에서 분석한 파일의 해시는 기본으로 표시되지 않는다. 해시를 분석하기 위해 [해시 분석]이라는 메뉴를 클릭한다. 주의 사항은 해시 표시가 바로 적용되는 것이 아니라 다른 디렉터리를 방문하고 다시 원하는 경로로 이동해야 한다. 5번 문제(책 페이지 319)를 예제로 살펴보자. 아래 gif에서 보이는 것처럼 IMG_101.jpg의 [파일 구조 뷰어]를 처음 진입하면, 해시가 보이지 않는다. [해시 분석]이후에 다시 해당 경로에 진입하면 해시가 보여진다. ※gif이미지를 보기 위해서 이미지를 클릭해서 보세요~.~ 전공영역 공부 기록 2019.06.24
디지털 포렌식 2급 실기 - 실습 문제 1번 풀이 법률, 디스크 이미징, 디스크 복원 생략 (복원은 디지털포렌식 2급 실기 175 ~ 182 페이지 참고) 1. 본사의 조작지시와 조작된 POS데이터의 흔적을 찾아 해당 파일을 추출하여 제출하시오 1.1. 시그니처 분석 시그니처 자동 분석을 통해 확장자와 시그니처가 다른 파일을 찾는다. 조건검색으로 확장자와 시그니처가 다른 파일을 필터링한다. 1.2. 시그니처가 불일치한 파일 분석 "본사지시사항에 대한 답변.jpg"는 이미지 파일이지만 KFOLT의 Image로 분석하면 이미지가 보이지 않는다. 하지만, Document로 분석하면 파일 내용이 보인다. [이미지 04]에 있는 내용을 복사해서 메모장에 붙여넣기 한다. 본사가 지시한 조작한 내용이 확인된다. '본사지시사항에 대한 답변.jpg'를 더블 클릭하면 해.. 전공영역 공부 기록 2019.06.24
01. 디스크 이미징 준비와 디스크 이미징 1. 윈도우 디펜더 해제 윈도우 7부터 기본으로 설치되어 있는 안티 바이러스이 윈도우 디펜더가 파일을 검사하면 액세스 시간이 변경된다. 그리고, 악성코드라고 확정한 파일에 대해서 기본적으로 삭제조치를 한다. 그러므로, USB 연결 전에 윈도우 디펜더를 해제한다. [실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Windows Defender 바이러스 백신 -> Windows Defender 바이러스 백신 사용 안함] 2. 쓰기 방지 - 윈도우 디펜더 비활성화(다른 백신이 있으면 백신 비활성화) -> 쓰기 방지 설정후에 디스크 이미징 작업을 한다. - 레지스트리 또는 도구에서 지원하는 기능 택 1 ※개인적으로 KFOLT가 편함 2.1 레지스트리 설정 (.. 전공영역 공부 기록 2019.06.24
00. 디지털포렌식 2급 실기 실습파일 다운로드 2019년부터 디지털포렌식 출제학회에서 기출문제 일부를 공개하고 있다. 그리고, 대회 전용 도구인 KFOLT도구를 같이 배포한다. Encase는 유료 도구여서 직장인 또는 대학 연구실 사람이 아니면 접하지 못하는 도구이다. 아마도, 이를 학회에서는 이를 안타까워해(?) KFOLT도구를 따로 제작한듯 하다. KFOLT도구와 실습문제는 디지털포렌식 전문가 접수 홈페이지(ybermap.kaspersky.com)의 공지사항에서 다운로드 받을 수 있다. 실습파일의 문제는 알라딘, YES24등에서 구매가능하다. 약 35,000원이다. 전공영역 공부 기록 2019.06.24
02. KFOLT 시그니처 분석 KFOLT는 포렌식학회에서만든 디지털포렌식 전문가 2급 실기를 위한 도구이다. 실기시험 30일전부터 실시 시험날까지 무료로 공개한다. 시험이 끝나고 사용할 수 없다. 디지털포렌식 실기 2급의 문제는 기밀자료 유출을 분석하는 문제유형이 많고, 확장자와 시그니처가 서로 다른 파일이 유출된 기밀자료일 가능성이 많다(그 외에 삭제된 파일이 있다). KFOLT에서는 [자동 분석 -> 시그니처 분석]기능으로 쉽게 확장자와 시그니처가 서로 다른 파일을 찾는다. 1번 실습파일를 예를 들어보자. 아래 그림에서 1->2->3번 순서대로 실행하면 확장자와 시그니처를 비교하면서 다른 파일 또는 이상한 파일을 분석한다. 시그니처 분석 이후에 조건 검색으로 쉽게 확장자와 시그니처가 다른 것을 필터링 가능하다. 전공영역 공부 기록 2019.06.24
